Set-CsKerberosAccountAssignment
トピックの最終更新日: 2012-04-23
インターネット インフォメーション サービス (IIS) 認証で使用する Kerberos アカウントをサイトに関連付けます。
構文
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
解説
Microsoft Office Communications Server 2007 および Microsoft Office Communications Server 2007 R2 では、IIS は標準のユーザー アカウントで実行されます。これにより、次の問題が発生する可能性があります。パスワードの有効期限が切れると、Web サービス が失われる可能性があり、これは多くの場合、診断が困難なものでした。パスワードの期限切れの問題を防ぐため、Microsoft Lync Server 2010 では、IIS を実行するサイト内の全コンピューターの認証プリンシパルとして機能できる (実際には存在しないコンピューター用の) コンピューター アカウントを作成することができます。これらのアカウントは Kerberos 認証プロトコルを使用するため、アカウントは Kerberos アカウントと呼ばれ、新しい認証プロセスが Kerberos Web 認証として認識されます。これにより、1 つのアカウントを使用して、すべての IIS サーバーを管理することができます。
この新しい認証プリンシパル下で複数のサーバーを実行するには、最初に New-CsKerberosAccount コマンドレットを使用してコンピューター アカウントを作成してから、このアカウントを 1 つ以上のサイトに割り当てる必要があります。この割り当てを行うと、Enable-CsTopology コマンドレットを実行して、このアカウントと Lync Server 2010 サイト間の関連付けができるようになります。特に重要なのは、これにより、必要なサービス プリンシパル名 (SPN) が Active Directory ドメイン サービス (AD DS) 内に作成されることです。SPN は、クライアント アプリケーションが特定のサービスを検出するためのものです。
Set-CsKerberosAccountAssignment コマンドレットを使用すると、指定のサイトに割り当てられている Kerberos アカウントを変更できます。このコマンドレットは、既にアカウントに関連付けられているサイトに使用します。Kerberos アカウントに現在関連付けられていないサイトにアカウントを割り当てるには、代わりに New-CsKerberosAccountAssignment コマンドレットを使用します。
このコマンドレットを実行できるユーザー:既定では、次のグループのメンバーが、Set-CsKerberosAccountAssignment コマンドレットをローカルで実行することを承認されています。RTCUniversalServerAdmins。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
パラメーター
| パラメーター | 必須かどうか | 型 | 説明 |
|---|---|---|---|
Identity |
必須 |
文字列 |
Kerberos アカウントが割り当てられたサイトの一意の識別子 (コンピューター アカウントの Identity ではなく、サイトの Identity)。次に例を示します。-Identity "site:Redmond"。 |
UserAccount |
必須 |
文字列 |
割り当てられるアカウントのアカウント名。domain_name\user_name の形式を使用します。次に例を示します。-UserAccount "litwareinc\kerberostest"。アカウント (kerberostest) のユーザー名部分は NETBIOS 名であり、これには最大 15 文字を含めることができます。 また、UserAccount という名前ではあっても、このアカウントは実際にはコンピューター アカウントであり、ユーザー アカウントではありません。 |
Instance |
省略可能 |
KerberosAccountAssignment オブジェクト |
個々のパラメーター値を設定するのではなく、オブジェクトへの参照をコマンドレットに渡せるようにします。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment オブジェクト。Set-CsKerberosAccountAssignment はKerberos アカウント割り当てオブジェクトのパイプライン処理されたインスタンスを受け入付けます。
戻り値の種類
Set-CsKerberosAccountAssignment を実行しても、オブジェクトや値が戻されることはありません。代わりに、Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment オブジェクトの既存のインスタンスを変更します。
例
-------------------------- 例 1 ------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
例 1 のコマンドは、既存の Kerberos アカウント (litwareinc\keberostest) を Redmond サイトに関連付けて、Enable-CsTopology を使用して新しい関連付けを有効にします。これを実行するには、例の最初のコマンドで Set-CsKerberosAccountAssignment を使用して、アカウント litwareinc\keberostest を Redmond サイトに関連付けます。2 番目のコマンドで、必要なサービス プリンシパル名を Active Directory 内に作成し、変更したアカウント割り当てを有効にするために、Enable-CsTopology を呼び出します。